Software espía LightSpy
Los analistas de seguridad han revelado que el software espía LightSpy, inicialmente pensado para usuarios de Apple iOS, es una variante no documentada del malware para macOS. Estos conocimientos provienen de especialistas en ciberseguridad que examinaron los rastros vinculados a esta amenaza multiplataforma. Es probable que el marco de malware tenga el potencial de infectar una amplia gama de sistemas, incluidos Android, iOS, Windows, macOS y Linux, así como enrutadores fabricados por NETGEAR, Linksys y ASUS.
Tabla de contenido
Los ciberdelincuentes aprovechan las vulnerabilidades para infectar dispositivos con LightSpy
El grupo de actores de amenazas aprovechó dos exploits disponibles públicamente (CVE-2018-4233, CVE-2018-4404) para implementar implantes en macOS, y parte de CVE-2018-4404 podría originarse en el marco Metasploit. Los exploits apuntaban a la versión 10 de macOS.
LightSpy se informó inicialmente en 2020 y desde entonces se ha vinculado a una herramienta de vigilancia de Android llamada DragonEgg.
En abril de 2024, los investigadores revelaron una campaña de ciberespionaje "renovada" dirigida a usuarios del sur de Asia, que inicialmente se creía que ofrecía una versión iOS de LightSpy. Sin embargo, se ha descubierto que es una variante de macOS más sofisticada que utiliza un sistema basado en complementos para recopilar varios tipos de información.
Cadena de ataque de la campaña LightSpy
El análisis indica que la variante macOS ha estado operativa desde al menos enero de 2024, dirigida a aproximadamente 20 dispositivos, la mayoría de los cuales se cree que son dispositivos de prueba.
La secuencia de ataque comienza con la explotación de CVE-2018-4233, una vulnerabilidad de Safari WebKit, a través de páginas HTML amenazantes, lo que desencadena la ejecución de código. Esto lleva a la implementación de un binario Mach-O de 64 bits disfrazado de archivo de imagen PNG.
La función principal del binario es extraer y ejecutar un script de shell, que luego recupera tres cargas útiles adicionales: un exploit de escalada de privilegios, una herramienta de cifrado/descifrado y un archivo ZIP.
Después de esto, el script descomprime el archivo ZIP, que contiene los archivos 'update' y 'update.plist', y asigna privilegios de root a ambos. El archivo 'plist' garantiza la persistencia, asegurando que el otro archivo se inicie después de cada reinicio del sistema.
Los complementos dañinos permiten a los ciberdelincuentes capturar numerosos datos
El archivo de 'actualización', también conocido como macircloader, sirve como cargador para el componente LightSpy Core. Este componente permite la comunicación con un servidor de comando y control (C2), lo que permite la recuperación de comandos y descargas de complementos.
La versión de macOS admite 10 complementos diferentes, lo que permite varias funcionalidades como captura de audio desde el micrófono, tomar fotografías, registrar la actividad de la pantalla, recopilar y eliminar archivos, ejecutar comandos de shell, recuperar listas de aplicaciones instaladas y procesos en ejecución, y extraer datos de navegadores web. (Safari y Google Chrome) y Llavero de iCloud.
Además, otros dos complementos facilitan la recopilación de información sobre otros dispositivos que pertenecen a la misma red, enumerando las redes Wi-Fi a las que está conectado el dispositivo y brindando detalles sobre las redes Wi-Fi cercanas.
Independientemente de la plataforma objetivo, el objetivo principal del grupo de actores de amenazas era interceptar las comunicaciones de las víctimas, incluidas conversaciones de mensajería y grabaciones de voz. Se desarrolló un complemento dedicado para macOS específicamente para el descubrimiento de redes, con el objetivo de identificar dispositivos cerca de la ubicación de la víctima.
